嘉宾发言

前言：4月22日，在第23个“世界知识产权日”到来之际，由山东省国家知识产权保护中心指导，由山东省知识产权服务业协会、济南市律师协会、北京市道可特律师事务所主办，北京市道可特（济南）律师事务所承办的2023年“世界知识产权日”主题论坛在山东济南圆满举办！南开大学竞争法研究中心主任、教授、博士生导师陈兵先生出席论坛并发表主旨演讲，演讲题目为《数字企业数据跨境流动合规治理》。

陈兵
南开大学竞争法研究中心主任、教授、博士生导师

以下为演讲实录：

在座的各位领导、各位同仁：

大家上午好！非常感谢今天有这么难得的一个学习机会，也非常感谢济南市律师协会与北京市道可特律师事务所的邀请。

今天跟大家分享的主题是“数字企业数据跨境流动合规治理”，在两位会长发言之后感觉到压力非常大，因为就现期而言，数据合规治理市场还在培育，当然，目前在实践中已经出现了这方面的问题，但是我们如何将此落地？这是我今天来的一个很重要的使命。

首先介绍一下，南开大学法学院在知识产权领域应该是比较强的，我们有三位教授，一位是做著作权法张玲教授，一位是商标法谢晴川教授，另外是专利法的向波教授。刚才我们光超会长也介绍了道可特律所的发展理念，我注意到律所将反垄断和反不正当竞争放在知识产权板块，我的理解是因为从律所对接诉讼的法院系统来看，反垄断和反不正当竞争通常是在最高院的知识产权法庭以及民三庭审理，到了我们各个省，或者一些专业法院，它也跟知识产权法庭放在一起，所以从诉讼角度上来说，将反垄断和反不正当竞争放在知识产权板块。

但是从行政监管、市场监管维度来说，国家反垄断局，包括我们总局下面的价格监督检查和反不正当竞争局，它与国家知识产权局是分开的。所以，虽然是从行政和司法这两个不同的维度，但其实两者之间存在密切的交集。我主要是做反垄断和反不正当竞争，今天也非常荣幸、有机会被光超会长安排在知识产权的大主题下，与大家一起学习和交流。

今天分享的主题是关于数字企业数据跨境流通的合规治理问题，这也是近几年社会关注的一个重点。因为数据问题，已经进入到了刚才光超会长在分享中明确指出的四个方向中，其中第一个就是互联网与数字经济。

什么是数字经济？现在来看可分为两大部分：一是产业数字化，二是数字产业化。那数据在数字经济发展中又起到了什么样的作用？我想，从2019年开始一直到现在，数据的重要作用不断凸显。尤其是在2021年的时候，我们把它称之为“中国数据治理的一个元年”，为什么？因为在2021年，我国数据领域的多项法律都正式施行了。

我今天分享主题分为四个方面：

第一个是问题提出。

第二个是我国数据跨境治理现状及域外实践动向。

第三个是企业在合规治理中需要破解的一些难点。

第四个是我们一些简单的思考，就是如何去应对。

第一个方面，我们目前在数据合规治理这一方面做了哪些工作？

从法律的角度出发，主要是从研究和实践的视角来看。首先，我们有机构规范，包括相应的对象以及行为与效果，这是从法律共同体的基本思维。尤其是律师行业，包括执法机构，出现问题首先要看法律是否有规定，再查找司法解释，进而再看相应的机构。这里，尤其是在我国本土，自《民法典》2021年正式出台之后，其中关于民法总则部分，就有涉及数据问题，留了一个法律接口，包括在《民法典》第六编，也提到了关于人格权保护的独立成编，这里面其实也是对个人信息的保护，应该说是在全球范围内的一个创新规定。

互联网经济治理的三部基本法：《网络安全法》《数据安全法》《个人信息保护法》，大家可以看一下三部法律在数据合规层面的相关规定，这个我就快速地略过。需要强调一点，现在我国合规还是行政主导，这是一个大的行政概念，包括我们这个国家公权力的主导。至于企业自身的合规意识、合规愿望目前还不够突出，其实就是内部合规动力不足。

这是关于在数据发展过程中相关软件和硬件的发展变化，大家可以看下这个规模。刚才我看到道可特律所的发展，从2003年开始一直到现在，经过了从1.0现在已经到了3.0，我觉得这个3.0跟我们现在发展的Web3.0其实很同步。现在整个数据发展以及数字经济的发展，也步入了一个深水区。我们从基建，现在谈新基建，谈基础设施，到探究一些软件方面的发展，它是符合发展规律的。

这是关于数据源违规所遭遇的相关处罚，一些案件的数量应该会越来越多。在数据爬取过程中，到底以前的强保护在未来会走向一个什么样的方向？其实司法机关也在研究这个问题。我们一再的强保护态势，是否利于数据的流通和共享，这值得思考。数据二十条里面所提到的数据的三权分置，数据的持有、数据的加工使用以及数据产品的经营权，实际上都在为数据的流通设计一些轨道。

这里面是关于IPO上市过程中的数据合规问题，刚才耿会长也提到了。关于数据源合规，像淘宝诉美景、大众点评诉百度，这些案子都比较多，涉及到数据问题，实际上深圳的“车来了”诉“酷米客”案，里面也涉及到一个数据爬取问题，当时是以破坏计算机罪入罪。所以现在我们可能要更加理性地来看待数据流通、数据分享、数据保护这几者之间的关系。

回到我们今天的主题，就是数据跨境。我们知道，TIKTOK前段时间在美国被听证，它的风险很大，有很多的原因，其中数据合规问题是一个不容忽视的重点问题。目前来看，包括“十四五”规划，去年年底发改委出台的，今年正在推的数据二十条，前段时间深圳数交所的运营、深圳关于数据要素登记平台建设等，都涉及数据合规问题。

这里面它有哪些风险？首先是用户风险，这个大家肯定都比较清楚，也就是用户数据和个人敏感信息的泄露问题。还有企业风险，企业又分为法律风险、合规风险，一个是要满足在数据输出国即传出国的风险，还有一个是数据接收国的风险。曾经我跟头部企业聊的时候他说，我们这个企业在欧洲面临的数据合规成本要比在国内企业高出一千万欧，所以这是一个很严重的问题，因为我们知道欧盟的GDPR出来之后，它的数据的成本很高。还有涉及到信息泄露的问题，比如说滴滴事件，今年滴滴APP重新上架，标志着这个事件、这个专项整改项目的结束。实际上在此之前，2021年的时候，滴滴赴美上市之后遭遇了调查，被罚了80多个亿。从某种程度上来说，这也是一个数据跨境输出涉及的国家安全问题，这些都是企业需要注意的。

目前，我们国家采取的是比较严格的本地化储存，这跟美国包括欧盟不一样。美国主张数据的跨境只有流通，因为它是一个数据大国。我们现在如果按照全球13台根服务器来说，在中国今年是没有的，但其中有10台在美国，所以说这个数据，包括它引发的信息安全问题，是我们非常关注的一个问题。

欧盟它是本地化加白名单，后面会提到这个问题。为此，我们现在特别关注数据治理，包括刚才提到的ChatGPT，关于《生成式人工智能服务管理办法（征求意见稿）》其实就提到一点，大模型训练和开发的运营企业，也就是所谓的生成式人工智能的开发企业，它需要对数据的真实性负责，需要对人工智能生成内容的真实性负责，这其实很困难。很多头部企业也和我们联系，问能不能写一些相关的内容，既然是征求意见稿，希望提一提意见。我们也提了，我们建议是在高风险领域的生成式人工智能领域，企业承担严格责任，在其他方面是很困难的，但在这里面实际上它的数据来源是否真实可信？数据来源的真实可信性很难去判断，但是又需要做到它。所以说从2021年开始，《数据安全法》出台以后，我们对于数据配套的一些部委规章就特别多。包括去年，应该是在2021年底出台了《互联网信息服务算法推行管理办法》。昨天看新闻，注意到杭州出了第一部地方规章，是对于外卖小哥等灵活就业人员的劳动权益保护问题，这又该如何去定位？我觉得这个就是地方立法先行。

这是关于我们目前国内的一个立法。美国我刚才提到了，它是一个扩张，一个长臂管辖，它以数据控制者为原则，就是说这个数据只要能控制到就可以去调取和使用。这也是为什么滴滴在赴美上市之后，它涉及严重的数据泄露风险，我们国家对它进行了严厉的处罚。当然这个80亿对于滴滴来说可能并不是一个大的数额，因为在2021年的时候，对阿里罚了182亿；2021年9月份，对美团罚了34个亿。

其实对这些头部企业来说，代表罚款越多越好，这反映的是一个态度。所以我们要高度重视合规，我也非常赞成刚才耿会长提到的“如何来帮助企业来做合规”的话题。今年在两会通道，罗文局长也提到了，今年国家市监总局的一个重要的任务是什么？就是要帮助企业如何提高合规能力的建设，这实际上对市监部门也提出了很高的要求。前一段时间，我们在天津也召开了一个包括市监、法院、检察、高校、律所多部门联合的，即政、产、学、研、用联合推动企业合规建设的会议。如何推进合规？它的激励机制目前来看仍需要不断完善。

刚提到欧盟，它有两套原则，第一个是白名单，第二个实际上是它对数据进行了严格的本地控制，也就是说，在欧盟区内数据可以自由流动，但是除了欧盟区外，它需要设立白名单制度。包括前段时间大家关注到的，关于人工智能行政合作协议，这是第一个不以数据开放交流为前提的协议。这个怎么去做？大家可以想一下，没有数据的流通和支持，人工智能怎么去发展？这就要拼硬科技。比如说现在对于一些影视计算，包括对于“数据不动业务动，数据不见业务开展”这些都提出了更高的要求。

这是关于一些新兴的数字经济体。我们中国在全球的数字经济中还是排第二，但是排第二主要是在数字经济的应用场景，它的业务量比较大，在科研上我们还存在一些很大的差距。我们看到新兴的合作伙伴，包括日本、新加坡还有邻居韩国，在数字领域都先后跟进，这与各自的做法相关。从全球范围来看，除了美国之外，它是一个对于数字自由化激励主张的国家，其他的地区和国家都在一定程度上对数据进行严格的管制，也加上了本地的需求。印度就是一个更加严格的数据本地化管理的国家。

这是相关的一些政策，大家可以看一下。如果说律师做数据，比如说HiQ诉领英的案子，案子在去年的时候基本上已经尘埃落定，最后是以破坏计算机信息系统罪定罪，是因为虚构了很多的个人账户。其实在很多的案件中，从法院的角度来说，已经对于数据保护给出了一个强保护。但是未来会怎么样？它可能会有一些变化。

我们目前存在的一些问题，主要的趋势简单说一下，第一个是数字主权加强，它带有数字权，这跟我们国家的公权力可能还不一样，所以大家也在讨论。

第二个就是关于数字经济的博弈。从去年的中央经济工作会议到今年的两会，都提出要大力发展数字经济。之前提过很多次发展数字经济，但是大力发展数字经济这是第一次提。大力发展数字经济，提高常态化监管的水平，助力平台企业，特别强调平台企业在引领发展，创造就业，参与国际竞争中大显身手，所以说数字经济的博弈是我们一个新的战场。在美国、欧盟，包括中国主要的三大司法辖区里面，数字经济将会是一个法律争议的高发热点。

最后是数据的分级保护。我们看一下整体的趋势和目前的一些难题。

因为今天是企业合规，我们看一下关于企业方面内部管理的系统，包括它的有效性、国内外。刚才提到了双重合规的问题，这对现在的企业而言非常困难。很多企业投入大量成本去做数据合规，如何来激励企业，这个是我们需要去考虑的问题。如何让企业觉得做合规是有好处的，这个说得很直白，因为违法。比如在反垄断领域违法，它可能是一个概率性的事件因体系不完备，可能就缺乏全流程、全周期的合规，从数据的采集、获取，一直到数据最后的清除，比如去年，每日优鲜面临着退出之后数据如何进行处理的问题。再比如说疫情期间的行程数据、健康数据，在行程码取消之后，这些数据怎么办？我也问了工信部，这个行程码是中国信通院跟中国的三大运营公司联合开发的，他说绝对是清销了。但是清销完了之后，数据清理之后，它实际上还有很大的商用价值。这里面就是数据合规人才，现在我们有些企业有数据首席官，或是隐私首席官。比如说像蚂蚁在很早的时候，就设立了隐私首席官，包括蚂蚁集团前段时间成立的隐私保护委员会。从数据的分类分级到数据安全的分类分级，以及到数据人才，包括数据合规的分类分级，都应一体推进。有一些中小企业来做数据合规，实际上它不一定具备充足的实力和能力去进行合规。当然它也需要去合规，《数据安全法》《个人信息保护法》，它对个人信息处理者、一些关于重要数据都是有规定的。这里面就是合规部门跟其他公司内部、企业内部其他相关部门协同的问题，尤其涉及数据合规的问题。

后面就是关于可操作性的问题，包括关键设施、关机条例、数据安全、个人保护法、数据出境，里面都有关于数据处理者定义。什么是数据处理者？从不同的法律归口上还不完全一样，这些就会让企业无所适从，包括数据的分类、分级，我们在《数据安全法》里面提到了核心数据、重要数据和一般数据。核心数据好理解，一般是涉及到国家重大安全的核心数据。但是重要数据通常是指地方和行业的重要数据，怎么去定位？所以这也是一个问题，包括出境评估的体系、国内和国外正在加剧的法律冲突。

刚才提到了数字主权在相互争夺，数字经济相互博弈，数据作为一种重要的创新型的要素，各国都在希望尽可能地占有。包括在国内不同的省市，对于数据要素市场的建设，以及如何来建设统一的全国数据要素市场，都面临着一些有待探索的问题，所以说不仅是从国内，从国际层面上也是一样的。

刑事激励是现在常说的刑事合规不起诉。但对于行政执法激励来说，也就是我们前段时间探讨的话题——能否把合规激励明确地写进《反垄断法》中？如何让企业主动去进行合规，让企业感觉到合规的意义与价值？

最后一点就是我们来帮助企业，或者是跟企业一同通过多元协作的方式来推动企业的合规。

第一是要树立正确的理念，密切关注国内外数据监管的动态。有些企业会建立一些自己的知识产权保护库，但需要对国内外各方面的数据政策，需要做充分的了解。

第二是希望做好人才建设。刚才两位会长都提到了人才，人才至关重要。人才实际上就要打通，政、产、学、研、用的区隔。我们高校跟律所，跟企业，包括跟协会的人才应该是共通的、互动的。有时候你可能在理论上很好，但是你不懂实务；在实务中你有很丰富的经验，但是理论上还有最新的研判，就需要实务和理论一起交流。人才建设尤其是复合型的人才建设很重要，因为数据合规已经不单是一个法律问题，合规也不是一个单一的法律问题。

第三是要以合规为中心，建立多部门的协作机制，出台系列文件，针对政府来提出相关意见和建议。

最后是参与国际合作、稳定和协同国内外的环境，希望政府，包括律所等等要建设开放型制度，大家多元共治，积极参与。

刑事激励还有行政执法的激励，需要大家一起去推动。最后在合规意识上面，要考虑包括在国内、国外、国际层面的协同，数字企业的双效合规，以及在激励机制的优化、强化和完善。我们不是只需要说企业要合规，如何让企业合规？而是要让企业的内部合规与企业的外部合规更好地进行结合，促进企业的健康合规发展。